Со следующими правилами внутри изменения ввода nftables:
tcp dport 21 ct state established,new counter accept
tcp dport 20 ct state established,related counter accept
tcp dport 1024-65535 ct state established,related counter accept
Пассивные FTP-соединения могут входить в систему, но соединение для передачи данных не может быть установлено.
В последних версиях ядер (> 4.7) необходимо загрузить следующий модуль:
modprobe nf_conntrack_ftp
И включите помощник:
эхо 1> / proc / sys / net / netfilter / nf_conntrack_helper